EuropskeNoviny.sk
Poskytovatelia základných služieb, napríklad v oblasti energetiky, dopravy, bankovníctva či zdravotníctva, a digitálnych služieb, vrátane vyhľadávačov a cloudov, budú musieť posilniť svoju odolnosť voči kybernetických útokom. Vyplýva to z novej úniovej legislatívy týkajúcej sa kybernetickej bezpečnosti, ktorú v stredu schválil Európsky parlament.
Zadefinovanie spoločných štandardov v oblasti kybernetickej bezpečnosti a posilnenie spolupráce členských štátov EÚ podľa poslancov pomôže spoločnostiam zvýšiť svoju obranyschopnosť voči online hrozbám a umožní im lepšie predchádzať útokom na prepojenú infraštruktúru krajín Únie.
„Incidenty v oblasti kybernetickej bezpečnosti majú veľmi často cezhraničný charakter, a teda sa týkajú viac ako jedného členského štátu EÚ. Rozdrobená kybernetická ochrana nás všetkých robí zraniteľnými a predstavuje veľké bezpečnostné riziko pre Európu ako celok. Táto smernica zadefinuje spoločnú úroveň sieťovej a informačnej bezpečnosti a posilní spoluprácu členských štátov EÚ, ktorá v budúcnosti pomôže zabrániť kybernetickým útokom na dôležitú prepojenú infraštruktúru Európy,” uviedol parlamentný spravodajca Andreas Schwab (EPP, DE).
Smernica EÚ pre sieťovú a informačnú bezpečnosť (NIS) „je tiež jedným z prvých legislatívnych rámcov, ktorý sa vzťahuje na [digitálne] platformy. V súlade so stratégiou pre jednotný digitálny trh zavádza požiadavky pre platformy, ktoré môžu očakávať podobné pravidlá bez ohľadu na to, kde v EÚ operujú. Toto je obrovský úspech a veľký krok smerom ku komplexnému regulačnému rámcu pre platformy v EÚ, ” dodal.
Zostavenie zoznamu poskytovateľov základných služieb v rukách členských štátov
Nová smernica stanovuje povinnosti v oblasti bezpečnosti a podávania správ pre prevádzkovateľov takzvaných základných služieb v sektoroch, akými sú energetika, doprava, zdravotníctvo, bankovníctvo či dodávky a distribúcia pitnej vody. Zoznam konkrétnych prevádzkovateľov v jednotlivých sektoroch, na ktoré sa dané požiadavky budú vzťahovať, si určí každý členský štát samostatne na základe špecifických kritérií – napríklad zásadnosti danej služby pre spoločnosť a hospodárstvo či závažnosti dopadu narušenia poskytovania danej služby vplyvom prípadného bezpečnostného incidentu.
Poskytovatelia niektorých digitálnych služieb – online trhovísk, internetových vyhľadávačov a služieb cloud computingu – budú taktiež nútení prijať opatrenia na zaistenie bezpečnosti ich infraštruktúry a hlásiť každé závažné bezpečnostné narušenie vnútroštátnym orgánom. V porovnaní s prevádzkovateľmi základných služieb sa však na nich budú vzťahovať miernejšie bezpečnostné a oznamovacie požiadavky, pričom mikropodniky a malé podniky budú od týchto požiadaviek úplne oslobodené.
Mechanizmy celoúniovej spolupráce
Nová legislatíva ustanovuje strategické skupiny pre spoluprácu, ktoré by mali podporiť výmenu informácií medzi členskými štátmi a pomôcť im pri budovaní kapacít na zabezpečenie bezpečností sietí a informačných systémov. Každý členský štát zároveň prijme národnú stratégiu pre sieťovú a informačnú bezpečnosť.
Členské štáty by mali vytvoriť sieť vnútroštátnych jednotiek pre riešenie počítačových bezpečnostných incidentov – takzvané tímy CSIRTs, ktorých úlohou bude riešenie rizík a bezpečnostných incidentov, diskusia o cezhraničných bezpečnostných otázkach a identifikácia koordinovanej reakcie.
Kľúčovú úlohu pri implementácii novej smernice, a to najmä v oblasti spolupráce, bude zohrávať Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA). Nová legislatíva tiež zdôrazňuje potrebu rešpektovania pravidiel ochrany údajov.
Reakcie slovenských poslancov
„V súčasnosti sme svedkami nárastu kybernetických útokov, ktorých pôvodcami nie sú len zločinci, ale aj niektoré štáty. Dôslednú ochranu informačných systémov nemôžu zabezpečiť štáty sami. Potrebujeme na to úzku spoluprácu v rámci vznikajúceho Jednotného digitálneho trhu,” uviedol poslanec Ivan Štefanec (EPP, SK).
Ďalší postup
Smernica NIS bude čoskoro zverejnená v Úradnom vestníku EÚ, aby o dvadsať dní neskôr vstúpila do platnosti. Členské štáty budú mať následne 21 mesiacov na transpozíciu jej obsahu do vnútroštátnych právnych predpisov a ďalších šesť mesiacov na identifikáciu prevádzkovateľov základných služieb.
